Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло новую уязвимость в свой каталог Known Exploited Vulnerabilities (KEV) - перечень уязвимостей, по которым подтверждены случаи активной эксплуатации. Речь идет о CVE-2026-0257, затрагивающей операционную систему PAN-OS от компании Palo Alto Networks. Этот инцидент привлек внимание специалистов, поскольку атаки на межсетевые экраны часто становятся началом цепочек компрометации крупных организаций.
Суть проблемы
Уязвимость CVE-2026-0257 представляет собой обход механизмов аутентификации (authentication bypass) в порталах и шлюзах GlobalProtect, которые входят в состав PAN-OS. Иными словами, злоумышленник может обойти стандартные проверки безопасности и установить несанкционированное VPN-подключение к корпоративной сети. При этом продукты Panorama и Cloud NGFW не подвержены данной уязвимости, что несколько сужает зону поражения.
Примечательно, что уязвимость получила оценку 7,8 балла по шкале CVSS версии 4.0 - это уровень HIGH. Вектор атаки выглядит крайне привлекательно для нарушителей: для ее реализации не требуется ни прав доступа, ни взаимодействия с пользователем. Достаточно лишь сетевой доступности уязвимого устройства. Кроме того, согласно описанию CWE-565, проблема кроется в чрезмерном доверии к файлам cookie (небольшим фрагментам данных, хранящимся в браузере) без их проверки на целостность. Это классическая ошибка, когда система полагается на данные, которые может подделать атакующий.
Затронутые версии и масштаб угрозы
Список уязвимых версий PAN-OS достаточно обширен. Он охватывает несколько веток продукта: 10.2, 11.1, 11.2 и 12.1. Для каждой из них производитель выпустил исправления в виде номеров сборок, помеченных как "unaffected". Например, для ветки 10.2 безопасной считается версия 10.2.18-h6 и выше, для 11.1 - 11.1.15, для 11.2 - 11.2.12, для 12.1 - 12.1.7. Важно понимать, что многие версии имеют промежуточные заплатки - например, 10.2.7-h34 или 11.1.6-h32, которые также признаны защищенными. Кроме того, под удар попал продукт Prisma Access, предназначенный для облачного доступа к корпоративным ресурсам.
Столь широкое покрытие означает, что под угрозой находятся тысячи организаций по всему миру. Межсетевые экраны Palo Alto Networks занимают значительную долю рынка, особенно в государственном секторе и крупных корпорациях. Именно поэтому CISA оперативно включила CVE-2026-0257 в свой каталог KEV - это сигнал для всех администраторов безопасности о необходимости срочных действий.
Почему это критично
Включение уязвимости в каталог KEV - не просто формальность. Это означает, что CISA располагает достоверными данными об активном использовании данной бреши злоумышленниками. Каковы могут быть последствия такого обхода аутентификации? Во-первых, нарушитель получает возможность подключиться к корпоративной сети легальным образом, не вызывая подозрений у систем обнаружения вторжений (IDS). Во-вторых, VPN-подключение через шлюз GlobalProtect обеспечивает достаточно широкий доступ к внутренним ресурсам компании. Атакующий может перемещаться по сети, собирать данные, устанавливать вредоносное ПО или программы-вымогатели.
Особую тревогу вызывает тот факт, что уязвимость затрагивает пограничное устройство - межсетевой экран, который обычно является первой линией обороны. Компрометация такого устройства может оставаться незамеченной длительное время. В последние годы наблюдается тенденция: злоумышленники все чаще нацеливаются именно на сетевое оборудование, поскольку его взлом открывает прямой путь к самым ценным активам организации. Группы расширенных постоянных угроз (APT) регулярно сканируют интернет на предмет уязвимых межсетевых экранов и VPN-концентраторов.
Реакция сообщества и рекомендации
Компания Palo Alto Networks уже выпустила патчи для всех затронутых версий. Специалистам по информационной безопасности настоятельно рекомендуется как можно скорее обновить свои системы. Затягивание с установкой исправлений может привести к инциденту, который обойдется организации значительно дороже, чем время планового обслуживания.
Стоит отметить, что CISA также предписывает федеральным гражданским агентствам США устранить данную уязвимость в установленные сроки. Для частного сектора такие требования носят рекомендательный характер, однако пренебрегать ими не стоит. В условиях, когда уязвимость уже активно эксплуатируется, каждый день промедления увеличивает вероятность компрометации.
Администраторам следует не только обновить PAN-OS, но и провести аудит журналов на предмет подозрительных VPN-подключений, которые могли быть установлены до закрытия бреши. Кроме того, полезно усилить мониторинг сетевых событий с помощью SIEM-систем, чтобы своевременно выявлять аномалии.
Итоги
CVE-2026-0257 - это серьезная уязвимость, которая позволяет злоумышленникам обходить защиту и проникать в корпоративные сети. Ее включение в каталог CISA KEV является прямым подтверждением наличия активных атак. Организациям, использующим продукты Palo Alto Networks, нельзя откладывать установку обновлений. В конечном счете, безопасность сети напрямую зависит от своевременности реагирования на подобные угрозы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0257
- https://security.paloaltonetworks.com/CVE-2026-0257
- https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog
